ISO 27001:2022 Anexo A Control 6.6

¿Cuál es el propósito del Anexo A 27001 de la norma ISO 2022:6.6?

Se debe aplicar el Anexo A 27001 de ISO 2022:6.6 para garantizar la seguridad de los datos cuando el personal, los socios y los proveedores colaboran con una organización.

Este control está diseñado para proteger los datos de la organización e informar a los firmantes de su obligación de gestionar y salvaguardar la información de forma responsable y legal. También sirve como herramienta para preservar los derechos de propiedad intelectual, por ejemplo, patentes, marcas comerciales, secretos comerciales y derechos de autor.

Los empleadores deben asegurarse de que exista un acuerdo de confidencialidad antes de revelar cualquier información confidencial a un empleado o contratista. El Acuerdo aclarará la responsabilidad del individuo de mantener el secreto de la información y la duración del período de confidencialidad una vez finalizado el empleo.

Anexo A 6.6 Explicado

ISO 27001:2022 Anexo A Control 6.6 está diseñado para salvaguardar la propiedad intelectual y los intereses comerciales de su organización al detener la divulgación de datos confidenciales a terceros. Implica el establecimiento de un acuerdo o arreglo legal entre su organización y su personal, asociados, contratistas, proveedores y otras personas externas, que controla el uso de información clasificada.

La información confidencial es cualquier dato que no se ha hecho público ni se ha compartido con otras organizaciones del mismo sector. Esto abarca secretos comerciales, registros de clientes, fórmulas y estrategias comerciales.

Evaluar el control al decidir si a un tercero se le permitirá el acceso a datos personales sensibles y si se deben tomar medidas para garantizar que no conserven ni continúen accediendo a los datos personales sensibles de la organización cuando se vayan.

Cuando un tercero abandona una organización y existe la posibilidad de que se expongan datos confidenciales, la organización debe tomar las medidas necesarias para evitar la divulgación antes o poco después de su salida.

Qué implica y cómo cumplir los requisitos

ISO 27001:2022 El Anexo A 6.6 exige que las partes del acuerdo se abstengan de revelar información confidencial que entre dentro de su alcance. Se necesita el consentimiento de la organización en cualquier caso en el que sea necesaria la divulgación, salvo orden judicial. Esta disposición es esencial para salvaguardar los datos relativos a actividades comerciales, propiedad intelectual e investigación y desarrollo.

Para cumplir con el Anexo A 6.6, se debe preparar un acuerdo/contrato de confidencialidad y no divulgación con precisión para proteger todos los secretos comerciales y datos/información sensibles relacionados con las actividades y transacciones de la empresa. Es esencial que ambas partes comprendan sus deberes y responsabilidades en virtud del acuerdo durante y después de la celebración de la asociación comercial.

Se puede incluir una cláusula de confidencialidad en contratos que van más allá del empleo del empleado o de la contratación de terceros. Esto debe hacerse para garantizar que la información permanezca segura.

Es esencial que los deberes y responsabilidades de seguridad de un empleado que sale o cambia de trabajo se transfieran a alguien nuevo, eliminando todas las credenciales de acceso y creando otras nuevas.

A la hora de evaluar los acuerdos de confidencialidad y no divulgación se deben tener en cuenta varios elementos:

• Los datos confidenciales que deben salvaguardarse.
• Se determinará la duración del Acuerdo, incluidas las ocasiones en que la confidencialidad deba mantenerse a perpetuidad o hasta que los datos se hagan públicos.
• En caso de terminación de un contrato, las medidas necesarias que se deben tomar.
• Los firmantes deben tomar todas las medidas necesarias para evitar la divulgación no autorizada de información.
• Propiedad de datos, conocimiento empresarial confidencial y propiedad intelectual que tenga efecto sobre la confidencialidad.
• El firmante tiene derecho a utilizar información confidencial de acuerdo con la autorización.
• El derecho a supervisar o evaluar actividades que involucren datos extremadamente clasificados.
• Se deberá seguir el proceso de informar e informar sobre revelaciones no aprobadas o derrames de información privada.
• Tras la terminación de este acuerdo, cualquier dato o información compartida entre las partes debe ser devuelta o destruida.
• Si no se cumple el acuerdo, qué medidas se tomarán.

La organización debe garantizar que los acuerdos de confidencialidad y no divulgación respeten las leyes de la jurisdicción pertinente.

Periódicamente y cuando los cambios afecten sus requisitos, es necesario revisar los acuerdos de confidencialidad y no divulgación.

Se pueden encontrar más detalles sobre este proceso en la norma ISO 27001:2022.

Cambios y diferencias con respecto a ISO 27001:2013

ISO 27001:2022 Anexo A 6.6 es una modificación de ISO 27001:2013 Anexo A 13.2.4, en lugar de un nuevo control.

Los dos Controles del Anexo A tienen varios paralelos, aunque no son idénticos. Por ejemplo, las instrucciones de implementación de ambos son similares, aunque no iguales.

La primera parte de la guía de implementación de ISO 27001:2013, Anexo A 13.2.4, enfatiza que:

“Los acuerdos de confidencialidad o no divulgación deben abordar el requisito de proteger la información confidencial utilizando términos legalmente exigibles. Los acuerdos de confidencialidad o no divulgación son aplicables a partes externas o empleados de la organización.

Los elementos deben seleccionarse o agregarse teniendo en cuenta el tipo de la otra parte y su acceso permitido o manejo de información confidencial”.

El Anexo A 6.6 de la norma ISO 27001:2022 declara que cualquier organización debe tomar las medidas adecuadas para:

“Los acuerdos de confidencialidad o no divulgación deben abordar el requisito de proteger la información confidencial utilizando términos legalmente exigibles. Son aplicables acuerdos de confidencialidad o no divulgación a las partes interesadas y al personal de la organización.

Con base en los requisitos de seguridad de la información de una organización, los términos de los acuerdos deben determinarse teniendo en cuenta el tipo de información que se manejará, su nivel de clasificación, su uso y el acceso permitido por la otra parte”.

Ambos controles tienen una estructura y función análogas en sus contextos individuales, aunque varían en significado semántico. El Anexo A 6.6 utiliza un lenguaje más sencillo y fácil de usar, lo que facilita la comprensión del contenido y el contexto. Por tanto, los usuarios pueden identificarse más fácilmente con la norma.

El Entrega 2022 de la norma ISO 27001 incluye declaraciones de intención y tablas de atributos según el Control del Anexo A, para ayudar a la comprensión y la implementación exitosa. Esto no se proporciona en la edición de 2013.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada control individual del Anexo A de ISO 27001:2022.

¿Quién está a cargo de este proceso?

Según el Anexo A 6.6 de ISO 27001:2022, el departamento de Recursos Humanos normalmente supervisa la redacción y el cumplimiento del Acuerdo de Confidencialidad/No Divulgación en la mayoría de las organizaciones, trabajando en conjunto con el gerente/departamento supervisor del tercero correspondiente.

El Oficial de Seguridad de la Información, el Gerente de Ventas o de Producción pueden actuar como Gerente Supervisor.

Los departamentos y jefes deben garantizar que los proveedores externos empleados por la organización tengan las precauciones de seguridad adecuadas para proteger los datos confidenciales contra la divulgación o utilización no autorizada.

Todos los empleados deben firmar un acuerdo de confidencialidad al inicio de su relación laboral con la empresa.

En muchas organizaciones, independientemente de su tamaño, todo el personal que maneja información confidencial debe firmar un acuerdo de confidencialidad o no divulgación.

Los empleados de ventas, marketing, servicio al cliente y otros departamentos que interactúan con información confidencial sobre clientes, consumidores y proveedores deben recibir capacitación.

Las organizaciones deben contar con políticas que obliguen al personal a firmar un acuerdo de confidencialidad antes de obtener acceso a información confidencial sobre clientes o proveedores, incluso si no existe un acuerdo escrito.

No tener una política de acuerdo de confidencialidad puede generar riesgos graves. Estos riesgos incluyen:

• Los empleados pueden, sin querer, divulgar información confidencial a personas ajenas a la empresa que no deberían tener acceso, dañando así a la organización.
• Un empleado puede divulgar información confidencial a un rival.
• Un trabajador descontento puede robar la propiedad intelectual de la empresa y utilizarla para su propio beneficio.
• Los trabajadores pueden dejar sin darse cuenta datos confidenciales en sus escritorios de la oficina o en sus portátiles de casa, arriesgándose a ser robados por un ciberdelincuente.

¿Qué significan estos cambios para usted?

La norma ISO 27001 permanece prácticamente sin cambios. Para mejorar la usabilidad, simplemente se actualizó. Por lo tanto, las organizaciones que se adhieren a este estándar no necesitan tomar medidas adicionales para seguir cumpliendo.

Para cumplir con los cambios en ISO 27001:2022, es posible que la organización deba realizar ligeras modificaciones en sus procesos y procedimientos actuales, especialmente si requieren una recertificación.

Para obtener más información sobre el impacto de modificar la norma ISO 27001:2022 en su negocio, consulte nuestra guía ISO 27001.

Cómo ayuda ISMS.Online

ISMS.Online facilita a las organizaciones y empresas el cumplimiento de los estándares ISO 27001:2022 al proporcionar una plataforma que simplifica la gestión de protocolos de confidencialidad o no divulgación, lo que permite actualizarlos según sea necesario, probarlos y realizar un seguimiento de su eficacia.

Ofrecemos un servicio basado en la nube plataforma para gestionar la Confidencialidad y Seguridad de la Información Sistemas de gestión, incluidas cláusulas de confidencialidad, gestión de riesgos, políticas, planes y procedimientos, todo en un solo lugar centralizado. La plataforma es fácil de usar y tiene una interfaz intuitiva que facilita su aprendizaje.

ISMS.Online facilita:

• Registre sus procesos cómodamente con esta interfaz fácil de usar. ¡No es necesario instalar ningún software en su máquina o red!
• Optimice su proceso de evaluación de riesgos automatizándolo.
• Garantice el cumplimiento de las regulaciones con informes y listas de verificación en línea.
• Mantenga un registro de avance mientras se esfuerza por obtener la certificación.

ISMS.Online proporciona una selección completa de herramientas para ayudar a las empresas y organizaciones a cumplir con los requisitos de ISO 27001 y/o SGSI ISO 27001. Hacemos que sea fácil cumplir con los estándares de la industria y le brindamos tranquilidad.

Ponte en contacto con nosotros ahora para organizar una demostración.